案件回顾

　　2018年7月至10月，被告人薛某某接受中介唐某某的委托注册办理不符合注册要求的二级建造师执业资格证书。薛某某在得到唐某某提供的申请注册人员的账号和密码之后，登录浙江省政务服务网，按网站设计的流程操作注册。在填写浙江省二级建造师初始注册申请表时，通过网页浏览器自带的“审查元素”功能，修改注册申请表中不符合要求的毕业年限数据和专业内容，使其符合注册要求之后提交这一网页表格进入下一步审核环节，利用政务网网站没有设置二次校验功能的漏洞，顺利使13名不符合注册要求的人员通过审核注册，从而从中介那里获取好处费52000元。

　　此案，杭州市西湖区公安分局一开始以薛某某涉嫌非法侵入计算机信息系统罪立案侦查，后以破坏计算机信息系统罪移送审查起诉。西湖区人民检察院经过一次退回补充侦查后以破坏计算机信息系统罪起诉。辩护人在一审阶段作了薛某某不构成破坏计算机信息系统罪的辩护。西湖区人民法院经过延期审理后采纳辩护人不构成破坏计算机信息系统罪的意见，判处薛某某非法获取计算机信息系统数据罪。西湖区人民检察院不服一审判决提起抗诉，坚持认为薛某某构成破坏计算机信息系统罪，杭州市人民检察院予以支持。目前，杭州市中级人民法院已经过二审公开开庭审理，案件正在进一步处理过程中。

　　“西湖计算机案”可谓一波三折，是研究网络犯罪的经典样本。对网络犯罪的处理，普遍存在技术人员不懂司法、司法人员不懂技术的专业鸿沟。深化研究，准确认定事实和适用法律是处理此类案件的关键。事实上，薛某某的行为在本质上是一种网络领域中伪造虚假材料违规注册的骗证行为，是一种利用信息网络妨害业务的行为，危害的是网络空间的管理秩序，而不是对计算机信息系统的破坏和危害。这一行为在网络时代具有一定的社会危害性，应该进行处罚，但按照目前的法律规定，只是涉嫌行政违规，没有任何符合构成要件的刑法罪名可以进行定罪。对这一行为的处理实际上是一个网络犯罪刑法规制的漏洞。刑法上的漏洞应由立法来弥补，不能以牺牲当事人的人身权益来填补。目前已有众多刑法专家学者建议在新的修正案中设立网络领域的“妨害业务罪”以填补这一漏洞。此案的判决，将真正检验司法实践部门是否能以事实为依据，以法律为准绳做出裁判，是否能真正坚持罪刑法定，维护司法公正。

薛某某非法获取计算机信息系统数据案

（抗诉）二审辩护词

尊敬的审判长、审判员：

　　浙江厚启律师事务所接受被告人薛某某的委托，指派我们担任其二审阶段的辩护人，出庭为其辩护。

　　这个案件经过一审的侦查、起诉、审理、判决，提起抗诉，到现在法院二审的开庭审理，相信大家对相关的事实在逐渐的清晰，对有关法律的理解也在逐渐的深入。到目前，辩护人越发坚信，本案薛某某的行为不构成破坏计算机信息系统罪，也不构成其他犯罪，而只是一个行政违规行为，因此为被告人薛某某作坚决的无罪辩护。具体理由如下：

　　一、抗诉机关（检察员）对薛某某实施行为的事实认定有误

　　事实认定是法律适用的前提。由于计算机网络有其特有的内在运行原理，专业性很强，不是计算机专业人士很容易造成对事实的误解，因此尤其要注意对事实的准确认定。辩护人通过会见、查阅卷宗和在法庭上对薛某某的详细询问，掌握了其基本事实，将薛某某整个行为的具体操作过程概括为以下六个步骤：

　　1.接受中介的违规注册要求，从中介那里获取已经通过二级建造师资格考试人员的账号和密码。

　　2.打开浙江省政务网，登入用户中心，选择“个人办事”中省建设厅的二级建造师执业资格注册（初始注册）项目，点击这个项目栏下的“在线办理”，进入二级建造师执业资格注册（初始注册）界面。点击“在线填表”，自动弹出“浙江省二级建造师初始注册申请表”这一空白的网页表格。

　　3.在空白的初始注册申请表中，点击“提取”按钮，系统会自动提取后台数据库中的大部分数据和内容填入表格。

　　4.在初始注册申请表页面上点击右键，选择“审查元素”选项，弹出审查元素代码框，在代码框中找到要修改的地方，修改成符合注册要求的数据和内容。修改完后，关闭审查元素代码框，网页页面就自动变为修改过的页面。

　　5.在初始注册申请表中输入“统一社会信用代码”、“验证码”等其他内容后，点击表单右上方的“提交”按钮，进入下一个注册环节。

　　6.在下一注册审核环节，由于网站本身没有设置二次校验审核功能，就瞬间自动通过审核，注册成功。

　　辩护人通过梳理薛某某的这一系列行为过程，经过深入研究和请教计算机方面的相关专家，认为薛某某从接受中介的要求、登入政务网、修改审查元素到最后注册成功，整个过程中存在问题的核心行为实际上是两个。

　　第一个是薛某某在初始注册申请表网页上修改审查元素数据和内容的行为。

　　从案卷材料看，薛某某在初始注册申请表网页修改审查元素既有对数字（毕业时间）的修改，也有对内容（如将“高中”学历改为“大专”学历）的修改。由此可见，薛某某修改审查元素不仅只有对数据的修改，也有对文字内容的修改。那么，这一修改行为导致的后果是什么？

　　这里涉及到计算机当中审查元素这个功能的运行原理。准确认识和理解审查元素的运行原理是准确认定薛某某这个行为事实的关键。根据相关计算机知识，审查元素本是谷歌浏览器提供的一项服务功能，可以做到定位网页元素、实时监控网页元素属性变化的功能，可以及时调试、修改、定位、追踪检查、查看嵌套，修改样式和查看js动态输出信息，是网页开发人员得心应手的好工具。目前，很多其他浏览器也具有这项功能，如360浏览器、火狐浏览器以及本案的搜狗浏览器。简单来讲，审查元素是网页开发设计中的一个调试工具，可以调试设计的网页。从运行原理而言，审查元素这一调试工具是无法直接修改网页的源代码的，只是可以修改网页浏览器的解析代码用于调试。通过审查元素调试修改的网页属性或样式在浏览器网页页面会有反应和体现，但是无法保存，这是一个公认的计算机常识。换言之，修改网页的审查元素，不会修改网页的源代码，这从修改审查元素后只要一刷新就会恢复成原来的网页，也可以看出后台服务器当中的网页源代码是没有被改动的。

　　由此，薛某某在初始注册申请表网页上修改审查元素数据和内容的行为，只是更改了网页浏览器的解析代码，而不是对网页源代码中的数据和内容进行了修改。这一行为导致的后果是使原来的初始注册申请表网页页面变成了改动过的初始注册申请表网页页面（或者说调试出了一个新的网页页面）。因为网页页面内容是虚假的，所以形成了一个虚假的初始注册申请表，也即本案中毕业年限和学历内容虚假的初始注册申请表表单。这一行为不会更改网页的源代码，也不会使修改的数据和内容进入网页后台的数据库，更不会对后台数据库中的数据进行增加、修改。

　　第二个是薛某某提交修改过的虚假初始注册申请表的行为。薛某某提交虚假的初始注册申请表是导致后面通过审核注册的核心行为。

　　依据政务网网站设计的注册流程，在初始注册申请表填好以后，有两个按钮可以点击：一个是“保存”按钮，一个是“提交”按钮。仅仅点击“保存”按钮，不会直接进入后续的注册环节，而只是对初始注册申请表中的内容进行保存。只有点击“提交”按钮，提交了初始注册申请表，才会进入后续的审核注册环节。

　　这里值得注意的是，本来一个正常设计的网站注册系统，如果提交虚假的注册申请表，应该被识别出来，并且不能通过审核。但本案的政务网校验审核系统，却存在严重的漏洞，也就是没有设置二次校验审核功能。根据开发网站的南威公司负责人王锦妙提供的证言，这个系统在案发阶段没有设置把在线网页中的初始注册申请表中的数据和内容与后台数据库中存储的数据和内容进行再次比对的功能，而是直接以初始注册申请表在线网页中的数据和内容作为审核判断依据。所以，最后导致只要初始注册申请表当中的数据和内容符合注册要求，就可以自动通过审核注册。

　　由此，薛某某提交修改过的虚假初始注册申请表的这一行为，借助于网站本身存在的漏洞，造成的后果是通过了最后的审核注册。

　　综合以上分析，薛某某整个行为的本质是通过修改审查元素形成了一份数据和内容虚假的初始注册申请表网页表格，然后通过提交这份虚假的申请表，利用了政务网网站没有设置二次校验审核功能的这一漏洞，成功注册了13本不符合注册要求的二级建造师执业资格证书，最后因为注册成功，从中介那里获取好处费52000元，这才是薛某某所实施行为的事实本质。

　　由此，抗诉机关（检察员）对薛某某行为事实的概括认定是不符合事实的，是错误的。错误的地方在于：

　　一是错误的认为修改审查元素的数据和内容会保存到网站系统后台的数据库中，这违背审查元素的运作原理。抗诉机关的抗诉书和支持抗诉的检察员说，薛某某把修改审查元素的毕业时间或专业的数据保存到了系统后台的校验数据库中，这是违背事实的。实际上修改审查元素代码框中的数据和内容，不会对网页的源代码数据造成任何影响，也不会使修改的数据和内容进入到系统后台的数据库。修改的数据或内容只是体现在初始注册申请表这个网页页面上，形成一个数据和内容虚假的初始注册申请表。事实上，薛某某修改审查元素数据和内容的这一行为后果也仅限于此。

　　二是错误的认为薛某某的行为破坏了政务网网站的校验功能。抗诉机关的抗诉书和支持抗诉的检察员说，薛某某的行为破坏了浙江政务网网站涉案板块的校验功能，这也是违背事实的。根据在案材料，薛某某实施行为当时的政务网本身没有设置校验功能，怎么可能对校验功能进行破坏？！事实上，一方面，政务网网站本身没有设置二次校验功能，是网站本身存在的一个漏洞，这个漏洞不是薛某某修改审查元素数据和内容行为破坏造成的。另一方面，薛某某提交虚假的表格使不符合注册条件的人员通过审核注册，这一行为也不是破坏了校验审核功能，而是因为提交了虚假的注册申请表骗过了审核。

　　三是错误的把提交虚假注册申请表所造成的行为后果归责于修改审查元素数据的行为后果中。抗诉机关的抗诉书和支持抗诉的检察员说，薛某某对计算机信息系统中处理或者传输的数据进行修改、增加，而获利人民币5.2万元，这一认定也是断章取义、违背事实的。事实上，修改审查元素数据和内容的行为，与提交数据和内容有虚假的初始注册申请表的行为，是两个性质完全不同的行为，各自行为所造成的后果也是完全不一样的。如果薛某某仅仅通过审查元素修改初始注册申请表中的数据和内容，而没有后续的提交行为，根本不会导致毕业时间或专业不符合注册条件的人员通过注册，也根本不可能获利。薛某某使不符合注册条件的人通过注册并从中获取好处费这些后果是由提交行为直接造成的，而不是由前面的修改审查元素的行为直接造成的。修改审查元素数据的行为后果是形成了一份虚假的注册申请表，提交虚假的注册表通过注册才是获取利益的核心行为。因此，直接认定薛某某因为修改数据而获利，表面上看似符合因果关系，实际上是没有真正认清各自行为与结果的因果关系而作出的错误的事实认定。

　　二、由于抗诉机关（检察员）对于薛某某行为事实的认定错误，导致在法律适用上的定性错误

　　本案公诉机关指控薛某某构成破坏计算机信息系统罪，适用的法律条款是刑法286条第2款，也既违反国家规定，对计算机信息系统中存储、处理、传输的数据进行修改、增加，造成严重后果。结合上述对薛某某实施行为事实的分析，辩护人认为其并不符合破坏计算机信息系统罪这一条款的犯罪构成要件。

　　（一）薛某某修改审查元素数据和内容的行为，不构成破坏计算机信息系统罪

　　首先，用审查元素修改网页页面数据和内容，是一个网页开发者调试网页经常使用的功能，是一个人人都可以实施的正常行为，行为本身没有违反任何国家法律规定。

　　其次，修改网页审查元素数据和内容不会使网页源代码进行改动，也不会使修改的数据和内容进入到服务器后台的数据库中，所以并不会导致对计算机信息系统中存储、处理、传输的数据进行修改、增加。事实上，薛某某修改审查元素数据和内容的行为，导致的行为后果是形成了一个数据和内容虚假的初始注册申请表网页页面。

　　再次，薛某某提交虚假的初始注册申请表的行为也不是对计算机信息系统中数据的增加。一方面，数据和内容有虚假成分的注册表网页页面本身不能等同于计算机信息系统中的数据，而只是一份虚假的网页材料。另一方面，提交虚假的注册申请表只是进入下一个注册审核环节，也不是对计算机信息系统中的数据进行增加。事实上，提交虚假注册申请表只是在注册过程中提交虚假材料进入下一注册环节，不是增加数据。

　　最后，薛某某实施的修改审查元素数据和内容的行为不会导致政务网网站不能正常运行，不会破坏计算机信息系统本身。刑法第286条第2款规定的破坏计算机信息系统的行为，是对计算机信息系统本身运行有关的“数据和应用程序”进行删除、增加、修改的破坏行为，而不是泛指网络系统中一切删除、增加、修改数据的行为。否则，平时对电脑文件进行增删改的日常操作都可以认为是破坏计算机信息系统的行为，这不符合破坏计算机信息系统罪的法益保护范围，也会使破坏计算机信息系统罪变成漫无边际的“口袋罪”。因此，虽然薛某某修改审查元素代码框中的数据属于修改数据，但这一修改数据的行为不会影响网站本身的运行，不属于破坏计算机信息系统的行为，不构成破坏计算机信息系统罪。

　　（二）薛某某提交虚假初始注册申请表的行为，也不构成破坏计算机信息系统罪

　　首先，薛某某将虚假的初始注册表进一步提交的行为，在行为本质上是一种办理二级建造师注册业务中虚假注册的欺骗行为，而不是破坏行为。虽然薛某某用这一虚假的注册申请表最后通过了审核注册，那也只是骗过了审核，而不是破坏了审核功能。事实上，政务网网站的审核功能没有受到任何影响，仍然按照当初设计的功能在运行（也就是存有漏洞的网站仍然按照当初设计的运行逻辑在运行）。其次，根据上述，薛某某的这一行为也没有破坏浙江政务网网站的校验功能。因为网站本来就没有设置二次校验功能，不可能对校验功能进行破坏。所以，薛某某实施的提交虚假注册申请表的行为，没有破坏政务网网站的校验功能，也没有导致计算机信息系统本身不能正常运行，不属于破坏计算机信息系统的行为，也不构成破坏计算机信息系统罪。

　　综合而言，根据犯罪构成的基本原理，一个行为要构成犯罪，行为人需要实施刑法规定的危害行为，造成危害结果，并且行为与结果之间有因果关系。从上述薛某某实施的两个核心行为以及造成的危害结果而言，都不符合破坏计算机信息系统的构成要件。公诉人之所以认为本案构成破坏计算机信息系统罪，很大原因在于：一方面是没有准确认识计算机中审查元素的运行功能及想当然地把后续行为的后果归结在前面的行为当中。另一方面是没有深入理解刑法第286条第2款规定的破坏计算机信息系统罪的犯罪构成要件。从而误认为对审查元素数据的修改是对计算机信息系统中数据的修改，并把后续的虚假注册而获取的非法收益归结到前面的修改审查元素这一行为中，导致错误的认为，修改审查元素数据的行为就是破坏计算机信息系统的行为，并且违法所得达到了司法解释规定的标准，进而认定为破坏计算机信息系统罪。这是错误认定事实和没有准确理解法律所造成的错误指控，是应该予以纠正的。

　　三、薛某某的行为本质是在违规办证这一主观目的支配之下，通过审查元素修改网页数据和内容这一方式，伪造了一份虚假的注册申请表，进而提交虚假表格材料进行注册的行为，这一系列行为都只是违规行为，都不构成犯罪

　　从案件整个行为过程来看，事实上，薛某某的行为可以概括为两部分行为：一是手段行为，通过修改浏览器网页审查元素数据和内容的方式，伪造虚假的注册申请表。一是目的行为，通过提交虚假的注册表进行违规注册，成功后获取钱财。

　　基于上述分析，薛某某实施的修改审查元素数据和内容的手段行为，不构成破坏计算机信息系统。那么，薛某某实施的通过提交虚假表格材料进行违规注册而获取利益的目的行为是否构成犯罪？辩护人认为，也不构成犯罪。理由是：

　　一方面，对这一提交虚假的网页材料骗取注册的行为进行事实评价，它与线下的提交虚假的纸质材料进行虚假注册的行为性质并没有本质区别，在本质上是一个虚假注册的骗证行为。

　　另一方面，对这一提交虚假材料骗取注册的行为进行法律评价，它甚至不是一个违法行为，而只是一个违规行为。因为注册二级建造师需要毕业以后两年时间的限制要求，只是浙江省建设厅规定的一个地方性行政规章，相关法律法规并没有这样的规定。规章本身的合理性也是存在疑问的。由此，薛某某实施的提交虚假的注册表进行虚假注册的行为，在行为事实本质上是一个欺骗行为，不是破坏行为，在行为法律评价上也只是一个违规行为，而不是犯罪行为。

　　综上所述，辩护人认为，本案薛某某实施的一系列行为实际上是一个在网络领域中制造虚假材料违规注册的骗证行为。在这些行为中，通过修改审查元素伪造虚假注册申请表的手段行为不构成破坏计算机信息系统罪，通过提交虚假注册申请表的骗证行为也只是一个违规行为。辩护人不否认薛某某实施的这一系列行为具有危害性，也应该对其进行处罚，但根据目前的刑法规定，还没有将这些行为上升为犯罪行为，因此不能对他以犯罪论处。如果违反相关的行政规章，可以对其进行行政处罚，但不能随意的给他定一个似是而非的破坏计算机信息系统罪，也不能随意退而求其次给他定一个其他不符合构成要件的罪名，否则可能造成错案、冤案。

　　最后，辩护人请求二审法院以事实为依据、以法律为准绳，排除其他一切案外因素的干扰，改判薛某某无罪，还其一个公道，维护司法公正！

辩护人：浙江厚启律师事务所

周立波 律师

王 勇 律师

作者：

　　周立波，浙江厚启律师事务所网络犯罪辩护部主任

　　王勇，浙江厚启律师事务所涉税犯罪辩护部副主任

（来源：厚启刑辩）